Sécurité informatique et gestion des actifs logiciels de l’entreprise CV + LD + LS Une entreprise est exposée quotidiennement aux risques d'attaques informatiques. Les virus, les attaquants, voire les erreurs de bonne foi représentent des menaces sérieuses avec des conséquences réelles.  En l’absence d’une protection de l’entreprise et de ses actifs conforme à l’état de l’art, la responsabilité du chef d’entreprise peut être engagée, civilement et pénalement. Les risques ne sont pas seulement juridiques. Ils sont également financiers (coût d’un arrêt par perte d’exploitation, ressources consommées pour réparer, restaurer, reconstituer les données) et techniques (vols de matériel, virus, spam,…). Dans certains cas extrêmes, ces risques peuvent même menacer la survie de l’entreprise. Ils se concrétisent sous la forme d’incidents ou d’attaques, externes ou internes : vol d’informations stratégiques, divulgation d’informations confidentielles, usurpation d’identité, falsification d’informations, utilisation abusive des ressources, paralysie par mise hors service de systèmes critiques, destruction de ressources informatiques, vol de matériel (ordinateurs portables par ex.)… C’est pourquoi il est primordial de mettre en œuvre de façon préventive des moyens de protection adaptés. Pour ce faire, on peut suivre la démarche suivante : ·         Inventaire des biens à protéger, des menaces et des vulnérabilités ·         Définir sa stratégie (politique de sécurité) o        Protections à mettre en place o        Définition des autorisations d’accès aux ressources (dont Internet) o        Formation / Faire l’état des lieux o        sensibilisation des employés (dont navigation sécurisée) ·         Mettre en œuvre des moyens minimaux de protection à différents niveaux o        Machines : pare-feu personnel, antivirus, mises à jour de sécurité o        Données : sauvegarde / restauration, chiffrement, autorisations   o        Réseau : pare-feu d’entreprise, mots de passe, réseaux sans fils, accès à distance pour les utilisateurs mobiles o        Sécurité physique o        Gestion de la sécurité o        Logiciels : conformité logicielle o        Services de sécurité (évaluation de sécurité) / entreprises partenaires Laurent Signoret Responsable Conformité Licences Microsoft France

Sommaire Les risques liées au manque de maîtrise de parc logiciel. MENACES RESPONSABILITES PRECAUTIONS Les risques liées au manque de maîtrise de parc logiciel. Risques techniques et de sécurité Risques d’image et de réputation Risques légaux et financiers La responsabilité civile et pénale du représentant légal de l’entreprise La politique de sécurité et de gestion des actifs logiciel

La technologie La sécurité… La procédure CV L’individu

Un parc logiciel mal maitrisé c’est la porte ouverte à la copie illégale et à ses risques. Risques techniques et de sécurité Pas de maîtrise complète du parc logiciel = logiciels de provenance inconnue = failles dans le dispositif de sécurité Risques de virus, parfois même intentionnels, sur les copies illégales commercialisées sur Internet ou copiées de poste à poste, ou dans les cracks de CD diffusés sur Internet = Risques d’intrusion. Pas d’accès aux services automatiques de mises à jour et de correctifs de sécurité Pas de support technique de la part de l’éditeur, pas d’interlocuteur revendeur ou service en cas de problème. Risques d’image et de réputation Utiliser des copies illégales n’est pas «pro», c’est un défaut de gestion, un manque de sérieux, un manque de respect de la loi (= fraude fiscale et travail au noir) La réputation et la pérennité de l’entreprise peut être entachée sur son marché, auprès des collaborateurs en interne d’abord, mais aussi auprès des clients, des fournisseurs et des concurrents qui pourraient l’apprendre (concurrence déloyale) Risques légaux et financiers Procédures de contrôle : saisie descriptive par huissier de justice et expert informatique dans le cadre d’une ordonnance rendue par le président du Tribunal de Grande Instance, ou sommation interpellative de mise en demeure de déclaration de parc. Procédures judiciaires coûteuses. Sanctions pénales (amendes prévues par la Loi) et civiles (dommages et intérêts). LS

Pourquoi ce phénomène de copie illégale Pourquoi ce phénomène de copie illégale ? (taux de piratage en France 45%*) Le paradoxe du logiciel : d’un coté un outil précieux, de l’autre un manque de respect et de gestion : Un outil précieux : Les entreprises ont fait le choix de l’informatique. Or le logiciel en est l’intelligence et la valeur ajoutée. Le logiciel est devenu l’outil de production quotidien de 75% de la population active. Le logiciel est un outil de production important, un actif qui doit être géré avec la même rigueur que tout autre actif (téléphone portable, ordinateur, voiture, machine outil…). Et pourtant un manque de respect et de gestion : Le manque de stratégie logicielle et de gestion de cet actif ouvre la porte à la copie illégale par les utilisateurs. De plus, dans le monde numérique la contrefaçon est facile : contrairement à d’autre types de contrefaçon (maroquinerie, horlogerie, textile…), la contrefaçon de logiciels (ou autres biens numériques) est techniquement à la portée de chacun, sans besoin d’un processus industriel lourd. * Source IDC pour BSA 2003

Différents types de copie illégale en entreprise : Copie par nécessité de la part des employés : Besoin de l’utilisateur >> Pas de réponse de la direction >>Copie Établir sa stratégie logicielle afin de fournir les outils logiciels nécessaires aux besoins fonctionnels des collaborateurs ! Dans une entreprise, l’exigence de conformité logicielle est un gage de sérieux vis-à-vis de vos collaborateurs dont l’informatique représente souvent le principal outil quotidien de production. Copie volontaire de la part de la direction : Stratégie d’économie Une économie faible : le logiciel représente seulement 3% à 9% du coût total de possession de l’équipement informatique Victime d’offres trop belles pour etre vraies et de contrefaçon de logiciels

Responsabilité civile et pénale du dirigeant C’est au responsable légal de l’entreprise de répondre aux exigences et responsabilités face aux risques en environnement numérique : Responsabilité du dirigeant : sur le fondement de l’article 1384 du Code Civil (responsabilité du commettant), la responsabilité du chef d’entreprise est mise en cause lorsqu’un de ses employés commet un acte de piratage ou de contrefaçon sur un poste mis à disposition par l’entreprise ou s'il utilise ces moyens informatiques à des fins malveillante La contrefaçon : des sanctions pénales sont prévues en cas d'introduction dans l'entreprise sans autorisation d’éléments protégés par un droit de propriété intellectuelle (logiciels, textes, images, contenus, etc …).

Responsabilité du dirigeant face au respect de la propriété intellectuelle En France, les logiciels, considérés comme des œuvres de l’esprit, sont protégés par les droits d’auteur, ce qui indique clairement qu’ils ne peuvent être ni copiés, ni utilisés en dehors des conditions autorisées par leur auteur. Par conséquent, un logiciel sans licence d’utilisation est une contrefaçon. Code de la Propriété Intellectuelle Article L.335-3 "Est (…) un délit de contrefaçon la violation de l'un des droits de l'auteur de logiciel (…) » En France, les logiciels, considérés comme des œuvres de l’esprit, sont protégés par les droits d’auteur, ce qui indique clairement qu’ils ne peuvent être ni copiés, ni utilisés en dehors des conditions autorisées par leur auteur. Par conséquent, un logiciel sans licence d’utilisation est une contrefaçon. Code de la Propriété Intellectuelle Article L.335-3 "Est (…) un délit de contrefaçon la violation de l'un des droits de l'auteur de logiciel (…) » La violation des droits sur un logiciel est sanctionnée de la même façon que la violation d’un droit d’auteur, les peines maximales prévues sont : Personnes physiques : 300 000 euros d’amende et 3 ans d’emprisonnement Personnes morales : 1 500 000 euros d’amende et 3 ans d’emprisonnement Bandes organisées : 500 000 euros d’amende et 5 ans d’emprisonnement. Les plus grands contrefacteurs de logiciels en France sont les PME. Les formes les plus répandues de violation des droits d’auteur en matière de logiciels sont les suivantes : L’abus de licence, qui consiste à installer un logiciel sur plus d’ordinateurs que ne l’autorise sa licence Le piratage sur Internet, qui consiste à télécharger sur Internet un logiciel distribué illégalement La copie de logiciels sur le disque dur d’ordinateurs offerts à la vente La contrefaçon de logiciels, lorsque sont utilisées des copies illicites de logiciels imitant le produit original.

Gérer le parc logiciel, quels avantages? Tirer le meilleur de son informatique en toute sérénité. Gestion des actifs logiciels : Mettre en oeuvre l’ensemble des infrastructures et processus nécessaires pour gérer, contrôler et protéger les actifs logiciels d’une organisation tout au long de leur cycle de vie. Avantages : Stratégie logicielle : Connaître ses besoins logiciels réels. quels logiciels répondent le mieux aux besoins fonctionnels des utilisateurs (par service, par tache, par métier) et aux contraintes techniques et budgétaires de l’entreprise. Établir ses choix logiciels et s’y tenir. Évaluer les évolutions techniques utiles et les planifier. Justifier les investissements Audit régulier du parc : mieux connaître et suivre dans le temps son existant logiciel et licences, et le comparer à ses besoins. Rationalisation des achats : réaliser des économies d’échelle en groupant ses achats, annualiser ses dépenses. Homogénéisation du parc : travailler plus efficacement et offrir un meilleur taux de service et de disponibilité aux utilisateurs LS

Quelles méthodes simples de gestion ? Informer et partager la responsabilité du dirigeant avec les employés : clause de respect de la propriété intellectuelle sur les biens et contenus numériques dans les contrats de travail, règlement interne de l’entreprise et note interne de sensibilisation. Réaliser un audit annuel des logiciels installés sur les ordinateurs Rapprocher cet audit physique des licences effectivement possédées. Grouper et conserver les licences en lieu sur. Établir la stratégie logicielle. Quels logiciels pour quels besoins ? La faire connaître et respecter. Grouper les achats auprès d’un petit nombre de fournisseurs reconnus. Établir des procédures de fourniture de logiciels aux employés et nommer des personnes responsables. Réévaluer les besoins régulièrement Planifier les évolutions techniques et les budgets correspondants Sous-traiter certaines tâches aux revendeurs informatiques spécialistes de l’audit et de la gestion des parc logiciels S’équiper une solution logicielle de gestion de parc logiciel LS

Audit du parc logiciel : le point de départ Dressez l’inventaire physique de tous les logiciels installés sur les disques durs de tous les ordinateurs et serveurs de l’organisation. Outil d’inventaire gratuit de Microsoft : MSIA (Microsoft Software Inventory Analyzer). Fonctionne en réseau, ne reconnaît que les produits Microsoft. A télécharger sur : www.microsoft.com/france/logicieloriginal/gerer/telechargement Outil d’inventaire gratuit de BSA (Business Software Alliance), l’association regroupant les éditeurs de logiciels : Easyvista de Staff & Line. Fonctionne en poste à poste, reconnaît tous les logiciels du marché. A télécharger sur : http://www.bsa.org/france/ressources/Decouvrez-EasyVista.cfm D’autres outils professionnels sont disponibles dans le commerce pour vous aider à effectuer cette opération. Pour cela, consultez la liste des éditeurs et prestataires de service, partenaires Microsoft, qui proposent des outils d’inventaire et de gestion des actifs logiciels, sur : www.microsoft.com/france/logicieloriginal/gerer/audit/outils

Rapprocher les logiciels installés des licences possédées Localisez les documents officiels ou preuves d’achat correspondant aux logiciels que vous possédez : Licences OEM, licences papier, contrats de licence en volume… Factures, preuves d’achat et documents prouvant l’authenticité de votre logiciel. Disquettes, CD originaux. Manuels originaux et documentations de référence Demande de l’historique d’achat auprès des éditeurs Déterminer la part de votre base logicielle installées non couverte par les licences d’utilisation, et donc votre niveau de risque. Régulariser la situation et mettre en place une politique active de gestion des actifs logiciels, afin de ne pas revenir dans cette situation.

Maîtriser son parc logiciel En conclusion… Maîtriser son parc logiciel Effectuer l’inventaire annuel et réevaluer son adaptation aux besoins fonctionnels Établir la stratégie logicielle et le budget associé Clarifier les usages, les règles, les procédures d’achat et d’installation

Des ressources Outils d’audit de parc logiciel et guides de gestion de parc logiciel disponibles gratuitement sur : www.microsoft.com/france/logicieloriginal www.bsa.org/france Sécurité www.microsoft.com/france/securite Guide sécurité PME sur le site entrepreneur: www.microsoft.com/france/entrepreneur/solutions/sgc/default.mspx LS

Merci pour votre attention Avez-vous des questions ?